数网组维_班级_姓名_学号_W10_Layer2Sec

ModuleCodeandTitle:310063,数据网组建与维护 Time:Mar18,2013 Location:3G305 StudentID: StudentName： Class：11Comm4 Submission：InClass LabReport5:CommonLayer2Attacks实验6:常见2层攻击防护实验6.1：one-armedrouter单臂路由实验目标：本实验将单臂路由下的2层交换接入的主机划分为多个VLAN，同时保证为不同VLAN之间建立访问通道。实验工具:GNS3或PacketTracer应用场景：众多中小企业内部网络结构都很简单，仅仅是用一台交换机将所有员工主机以及服务器连接到一起，然后连接外网。当然为了保证部分主机的安全性以及分割内部广播包提高网络传输速度，可采取诸如划分VLAN和分配不同子网的方法来实现。通过划分VLAN可以让在同一台交换机不同端口的客户机不能互相访问，有效的隔离了网络。但是，通过VLAN划分的网络虽然可以解决安全和广播风暴的频繁出现，但对于那些既希望隔离又希望对某些客户机进行互通的公司来说，划分VLAN的同时为不同VLAN建立互相访问的通道也是必要的。技术解析：使用三层交换机实现VLAN划分的效果更好，但是大多数企业网络搭建初期购买的仅仅是二层可管理型交换机，如果要购买三层交换机实现VLAN互通功能的话，以前的二层设备将被丢弃。这样就造成了极大的浪费。那么有没有什么办法在仍然使用二层设备的基础上，实现三层交换机的功能呢?·三层交换机的工作原理:理论上，一台三层交换机可以看作是一个二层交换机加一个路由模块，实际应用中各个厂商也是通过将路由模块内置于交换机中实现三层功能的。在传输数据包时先发向这个路由模块，由其提供路由路径然后再由交换机转发相应的数据包。·单臂路由原理:如果仍然要使用以前的二层设备，那么我们可以通过添加一台路由器解决上面提到的企业网络升级问题。这台路由器就相当于三层交换机的路由模块，只是我们将其放到了交换机的外部。实验拓扑：在router路由器与交换机之间是通过外部线路连接的，这个外部线路只有一条，但是他在逻辑上是分开的，需要路由的数据包会通过这个线路到达路由器，经过路由后再通过此线路返回交换机进行转发。这种拓扑方式有一个形象的名字——单臂路由。简单说，单臂路由就是包从路由器某个口进去，又从那个口出来，而不像传统网络拓扑中数据包从某个接口进入路由器又从另一个接口离开路由器。　　那么什么时候要用到单臂路由呢?在企业内部网络中划分了VLAN，当VLAN之间有部分主机需要通信,但交换机不支持三层交换，这时候可以采用一台支持802.1Q的路由器实现VLAN的互通。我们只需要在以太口上建立子接口，并分配IP地址作为该VLAN的网关，同时启动802.1Q即可。　　注意：当一个物理接口当成多个逻辑接口来使用时，往往需要在该接口上启用子接口。通过一个个的逻辑子接口实现物理端口以一当多的功能。命令列 命令 描述 vlanvlan-id 创建VLAN命令 namevlan-name 给创建的VLAN添加名称 showvlan{namevlan-name|idvlan-id} 查看配置完成的结果 novlanvlan-id 删除已存在的VLAN switchportmodeaccess 将接口的模式设为访问模式 switchportaccessvlanvlan-id 将接口加入指定的VLAN中 switchportmodedynamicdesirable 将接口设置为动态主动自适应模式 switchportmodedynamicauto 将接口设置为动态被动自适应模式 switchportmodetrunk 将接口设置为干道模式 switchportnonegotiate 将接口设置为不协商模式，关闭DTP协议 switchporttrunkencapsulationdot1q 设置接口的干道协议 switchporttrunkencapsulationisl 设置接口的干道协议 switchporttrunknativevlanvlan-id 设置本征VLAN vtpmodemode 设置VTP的工作模式 vtpdomaindomain-name 设置VTP工作的域名 vtppasswordpassword 设置VTP的密码 vtpversionversion-number 设置VTP工作版本，有1和2两个版本 vtppruning 配置VTP裁剪功能 showvtpstatus 查看VTP信息 private-vlanprimary 设置PVLAN为主VLAN private-vlanisolated 设置PVLAN为隔离VLAN private-vlancommunity 设置PVLAN为共同体VLAN private-vlanassociationvlan-id 设置和主VLAN关联的次VLAN信息 switchportprivate-vlanhost-associationvlan-id 设置接口和主VLAN和次VLAN的关联 private-vlanmappingvlan-idvlan-idvlan-id… 设置接口和VLAN的映射关联实验步骤：步骤1.SW1：使用vlandatabase命令创建vlan10，vlan20；并把f1/1和f1/2分别划分到vlan10，vlan20中，然后把连接R1的f1/0口配置为trunk。步骤2.进入R1，配置单臂路由。步骤3.PC1：设定IP地址和静态路由。步骤4.PC2:设定IP地址和静态路由。步骤5.测试PC1和PC2之间是否可以互通。实验5.2：STP与PortFast、UplinkFast、BackBoneFast试验目标：通过本实验掌握PortFast、UpLinkFast、BackBoneFast在交换数据时对路径选择的作用和相应配置方法。应用场景Cisco的三个增强生成树的协议分别是portfast，uplinkfast，backbonefast。·PortFast在STP中我们只希望那些参与选举的交换端口能够接收BPDU，而对于那些接入到终端设备的PC或路由（不能是接STP中的其他交换机的端口）我们只希望它们快速转发数据portfast就可以帮我们实现这一目的。portfast只能应用在接入层，而且只能用于连接到终端工作站的接入端口上。如果是接STP中的交换机的端口就一定不能启用，否则会造成新的环路。portfast能将2层端口立即进行转发状态，进而回避了监听和学习状态。没有启动portfast时交换端口的状态为：阻塞->>监听―>>学习->>转发，但启动portfast后状态变为：阻塞->>转发从而缩短了时间提高了端口的转发速度。protfast是对于接入端口来说的，也就是使用了portfast的端口直接即可进入传输状态，而不需要经过其它中间状态的转换。·UpLinkFast：在STP中当链路或交换机故障时，STP会重新计算并收敛（所需时间较长），UpLinkFast就帮我们尽快的解决收敛问题。UpLinkFast用在STP中拥有阻塞端口的接入层的交换机上，它可以加速选择一个新的根端口。根端口随即进入转发状态，Uplinkfast通过减少最大更新速率来限制突发多播流量，一旦发现了线路故障，Uplinkfast马上把Blocking的端口切换到Forwarding状态，而不经过Listening和Learning阶段（切换时间可以在2-4s），这样就达到减少STP收敛时间。uplinkfast一般是用在接入层的，当有两条上行链路通向上层的时候，传统的生成树会把其中一条置为block状态，如果一条链路失效了，另一条也要经过50秒才能变为传输状态，而使用uplinkfast的端口不需要经过block状态并即刻切换状态，时间2-4秒。·BackBoneFast是对UplinkFast的一种补充，UplinkFast能够直连链路是否失效，而BackboneFast是用来检测间接链路的失效。BackBoneFast要在STP中所有的交换机上都启用才能生效。当启用了BackboneFast的交换机检测到间接链路失效后，会马上使阻塞的端口进入监听状态，从而减少了老化时间。backbonefast用在分布层中的交换机上。而且要求所有交换机都得需要启动backbonefast。当一台交换机的根端口坏掉的时候，失去了和RB的连接，这台交换机就向它自身的其他端口，包括阻塞端口(如果有的话)发送下级BPDU。收到次级BPDU的交换机有3种情况：1，如果收到次级BPDU的端口是阻塞端口，那么阻塞端口和根端口都作为候选端口(用来到达根桥用的)；2，如果收到次级BPDU的端口是根端口，那么阻塞端口被作为候选端口，因为只能通过它到达根桥了；3，如果收到次级BPDU的端口是根端口，并且这个交换机上没有阻塞端口，那么交换机认定到达根桥的链路已经down掉了，在老化时间到了之后，交换机将通过把自己宣告为根桥开始正常的STP选举过程。需要重新进行STP运算。交换机中只要有一台处于第三种状态，就要重新进行STP运算。实际使用中，BackboneFast只能省去端口老化时间(20秒)，而两个转发延迟时间是不能省去的，所以我们的网络只能将延迟从50秒减少到30秒。实验拓扑：命令列表 命令 描述 Switch#showspanning-tree 查看生成树的运行信息 Switch#showspanning-treeactive 只显示激活接口的生成树信息 Switch#showspanning-treedetail 显示生成树运行详细信息 Switch#showspanning-treeinterfacefa0/24 查看特性接口的生成树信息 Switch#showspanning-treesummary 显示生成树运行信息汇总 Switch(config)#spanning-treevlan5hello-time4 修改生成树的hello计时器 Switch(config)#spanning-treevlan5forward-time20 修改生成树的转发计时器 Switch(config)#spanning-treevlan5max-age25 修改生成树的最大年龄计时器实验步骤步骤1.SW1：查看STP状态。步骤2.SW2：查看STP状态。步骤3.SW3：查看STP状态。步骤4.SW1在所有接口上启动portfast，在设备上启动backbonefast。在fa1/0和fa1/1接口上关闭portfast。步骤5.SW2在所有接口上启动portfast，在设备上启动backbonefast。在fa1/0和fa1/1接口上关闭portfast。步骤6.SW3在所有接口上启动portfast，在设备上启动backbonefast，因为SW3有阻塞端口，所以要启用uplinkfast。在fa1/0和fa1/1接口上关闭portfast。步骤7.再次查看STP中SW1、SW2、SW3的接口状态变化。SW3中的uplinkfast已经开启了，cost成本为3019。课堂学习情况交流问卷1.本节课所讲述的主要内容是什么？2.本节课授课环节是否有需要改进的地方？（内容难易，多少，合理性等）3.老师讲解是否清晰？哪些内容没有听懂？4.课堂上是否能够专心听课？如果不是，影响你专心听课的原因有哪些？5.在课堂上，你是求助方还是施助方？你今天帮助或者求助了哪些问题？6.针对还没有掌握的学习内容，你打算如何做？7.关于本课程内容是否有预习和复习？如果有，每周几天几小时？8.关于职业规划，你的目标职位是什么？（以XX公司XX职位做参考）9.有何其它建议？10